Verificación de integridad de los paquetes rpm instalados
El comando rpm permite comparar los ficheros que hay en el sistema con los ficheros que se instalaron en su día mediante dicho gestor de paquetes. Esto permite realizar una muy básica comprobación de integridad del sistema.
Para realizar la comprobación se debe usar la opción -V y el nombre del paquete a verificar:
# rpm -V sudo S.5....T c /etc/sudoers
Los caracteres que se muestran indican lo siguiente:
- 5: Fallo de comprobación del MD5 entre los ficheros y el que se instaló
- S: Diferencia de tamaño del archivo
- L: Difiere el enlace simbólico
- T: Difiere la fecha de modificación del fichero
- D: Difiere el dispositivo
- U: Difiere el usuario propietario
- G: Difiere el grupo
- M: Difieren los permisos del fichero y/o el tipo (modo)
En el caso del ejemplo anterior:
# rpm -V sudo S.5....T c /etc/sudoers
Nos esta indicando que el fichero /etc/sudoers ha sido modificado desde que se instalo el rpm. Resulta evidente si se ha personalizado. En el caso de realizar las instalaciones mediante ficheros rpm con los datos ya personalizados podríamos realizar dicha tarea.
También se puede realizar la comprobación por todos los paquetes mediante la opción -Va:
# rpm -Va ....L... c /etc/pam.d/system-auth SM5....T c /etc/security/limits.conf .......T c /etc/audit/auditd.conf S.5....T c /etc/sudoers .....UG. /opt/zimbra/amavisd-new-2.5.4/sbin .....UG. /opt/zimbra/clamav-0.94.1 .....UG. /opt/zimbra/clamav-0.94.1/bin .....UG. /opt/zimbra/clamav-0.94.1/etc .....UG. /opt/zimbra/clamav-0.94.1/include .....UG. /opt/zimbra/clamav-0.94.1/lib .....UG. /opt/zimbra/clamav-0.94.1/man .....UG. /opt/zimbra/clamav-0.94.1/sbin .....UG. /opt/zimbra/clamav-0.94.1/share .....UG. /opt/zimbra/dspam-3.8.0 (...)
Dicha comprobación no se debe tomar como la única a realizar ante un ataque, ya que dicha base de datos contra la que se realiza la comprobación podría haber sido también modificada.
Relacionados
Imprimir
Deja un comentario: